JP6014746B2 - Unauthorized use detection method and unauthorized use detection device - Google Patents

Unauthorized use detection method and unauthorized use detection device Download PDF

Info

Publication number
JP6014746B2
JP6014746B2 JP2015502685A JP2015502685A JP6014746B2 JP 6014746 B2 JP6014746 B2 JP 6014746B2 JP 2015502685 A JP2015502685 A JP 2015502685A JP 2015502685 A JP2015502685 A JP 2015502685A JP 6014746 B2 JP6014746 B2 JP 6014746B2
Authority
JP
Japan
Prior art keywords
unauthorized use
user
operation feature
use detection
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015502685A
Other languages
Japanese (ja)
Other versions
JPWO2014132431A1 (en
Inventor
知広 花井
知広 花井
克朗 菊地
克朗 菊地
友洋 中村
友洋 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Application granted granted Critical
Publication of JP6014746B2 publication Critical patent/JP6014746B2/en
Publication of JPWO2014132431A1 publication Critical patent/JPWO2014132431A1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Social Psychology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)
  • User Interface Of Digital Computer (AREA)

Description

本発明は、計算機システムにおけるユーザの特定方法に関する。   The present invention relates to a user specifying method in a computer system.

スマートフォンやタブレット端末などのモバイル端末の急速な普及により、従業員がこれらの端末を利用して業務を行うことが増えている。しかしながら、端末の紛失や盗難により第三者が端末を悪用した場合に、社内システムへの不正アクセスにより情報漏洩などが発生するリスクがある。一般的には端末側でのセキュリティ対策(端末ロック、リモートワイプ等)が実施されるが、ロック未設定やアンロック状態での盗難の場合は、完全に防ぐことができない。そのため端末側での対策によらず、社内システム側でも不正利用対策が必要である。   With the rapid spread of mobile terminals such as smartphones and tablet terminals, employees are increasingly using these terminals for business. However, when a third party misuses the terminal due to loss or theft of the terminal, there is a risk that information leaks due to unauthorized access to the in-house system. Generally, security measures (terminal lock, remote wipe, etc.) on the terminal side are implemented, but it cannot be completely prevented if the lock is not set or theft in the unlocked state. For this reason, countermeasures against unauthorized use are also required on the in-house system side, not on the terminal side.

特開2006−260454JP 2006-260454 A 特開2011−197802JP2011-197802 特開2009−175984JP 2009-175984 A

特許文献1では、オンラインバンキングにおいてユーザ操作が従来の傾向と異なる場合にそれを検知して別の手段(メール又は電話)で認証を行う方法が開示されている。ユーザ操作の具体的なものとして記載されているのは、パスワードの間違い方の傾向、入力の癖(全角/半角、数値のカンマの有無)などである。しかしながら、複数の判定基準を組み合わせて検知する方法については開示されておらず、誤検知の確率が高いという問題がある。また、入力項目に入力されサーバ側へ送信された情報のみから判定処理を行っている。そのため、入力項目あるページでないと判定できず、検知のタイミングが限定される。さらに、不正利用を検知した場合に、メールや電話により再認証を行うため、認証コストが大きいという問題がある。   Patent Document 1 discloses a method of detecting when a user operation differs from a conventional tendency in online banking and authenticating by another means (email or telephone). Examples of specific user operations include the tendency of wrong passwords, input habits (full-width / half-width, presence / absence of numerical commas), and the like. However, a method for detecting by combining a plurality of determination criteria is not disclosed, and there is a problem that the probability of erroneous detection is high. In addition, the determination process is performed only from the information input to the input item and transmitted to the server side. Therefore, it cannot be determined that the page is not an input item, and the detection timing is limited. Further, when unauthorized use is detected, re-authentication is performed by e-mail or telephone, so that there is a problem that the authentication cost is high.

特許文献2では、Webブラウザ上での操作の特徴量を利用してWebサイト利用者の特徴および傾向を分析する方法が開示されている。しかし分析内容は、Webサイトのコンテンツに依存して設計されるため、一般的なWebサイトには適用することが出来ない。また、Webサイト利用者の特徴および傾向を分析するものであって、不正利用か否かを判定するものではない。   Patent Document 2 discloses a method for analyzing features and tendencies of website users using feature amounts of operations on a web browser. However, the analysis contents are designed depending on the contents of the website, so it cannot be applied to general websites. It also analyzes the characteristics and trends of Web site users and does not determine whether or not it is unauthorized use.

特許文献3では、過去の慣習情報から構築したベイジアンネットにより、アクセスユーザが本人である確率を算出する方法について開示されている。利用する慣習情報として記載されているのは、アクセス年月日、アクセス時間帯等を含む時間情報、IDやパスワード入力時のキーボードの平均打鍵速度や隣接打鍵間速度、マウス操作の軌跡情報などである。しかしながら、これらの慣習情報を用いた具体的な確率算出方法は開示されておらず、慣習情報のユーザ間のばらつきは考慮されていない
以上の従来技術においては、複数の判断基準(特徴量)を組合せて不正利用の判定処理を行っておらず、特徴量のユーザ間のばらつきを考慮していないため、誤検出確率が高いという問題がある。Patent Document 3 discloses a method of calculating a probability that an access user is the person himself / herself using a Bayesian network constructed from past customary information. The custom information to be used includes time information including access date, access time zone, etc., average keystroke speed of keyboard when entering ID and password, speed between adjacent keystrokes, mouse operation trajectory information, etc. is there. However, a specific probability calculation method using such custom information is not disclosed, and the variation of custom information among users is not taken into account. In the conventional technology described above, a plurality of judgment criteria (features) are used. There is a problem in that the misdetection probability is high because the determination process of unauthorized use is not performed in combination and the variation of the feature amount between users is not considered.

本発明はこのような事情に鑑み、端末の不正利用の検出精度を向上させることを目的とする。   In view of such circumstances, an object of the present invention is to improve detection accuracy of unauthorized use of a terminal.

本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。   Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.

ユーザの操作ログから算出される複数の操作特徴量と、他のユーザの複数の操作特徴量を用いて算出されるユーザの複数の操作特徴量の重みとを記録し、端末装置の操作ログを取得し、操作ログから複数の操作特徴量を算出し、算出した複数の操作特徴量と記録されたユーザの複数の操作特徴量との類似度を、記録されたユーザの複数の操作特徴量の重みを用いて算出し、端末装置の不正利用を検出する不正利用検出方法である。   A plurality of operation feature values calculated from a user operation log and a weight of a plurality of user operation feature values calculated using a plurality of operation feature values of other users are recorded, and an operation log of the terminal device is recorded. Obtaining a plurality of operation feature amounts from the operation log, and calculating the similarity between the calculated plurality of operation feature amounts and the plurality of recorded user operation feature amounts of the plurality of operation feature amounts of the recorded user. This is an unauthorized use detection method that calculates using a weight and detects unauthorized use of a terminal device.

本発明によれば、端末の不正利用の検出精度を向上させることが可能となる。   According to the present invention, it is possible to improve the detection accuracy of unauthorized use of a terminal.

上記した以外の課題、構成及び効果は、以下の実施形態の説明より明らかにされる。   Problems, configurations, and effects other than those described above will become apparent from the following description of the embodiments.

システムのハードウェア構成を表す図の例である。It is an example of the figure showing the hardware constitutions of a system. 操作特徴量重み算出処理の流れを表す図の例である。It is an example of a figure showing the flow of operation feature-value weight calculation processing. 操作ログテーブルの例である。It is an example of an operation log table. 操作特徴量テーブルの例である。It is an example of the operation feature-value table. 操作特徴量重みテーブルの例である。It is an example of the operation feature-value weight table. 不正利用検出機能における操作特徴量重みテーブル算出処理を表すフローチャートの例である。It is an example of the flowchart showing the operation feature-value weight table calculation process in an unauthorized use detection function. 不正利用検出機能における利用状況判定処理を表すフローチャートの例である。It is an example of the flowchart showing the use condition determination process in an unauthorized use detection function. 不正利用判定処理の流れを表す図の例である。It is an example of the figure showing the flow of an unauthorized use determination process. 判定閾値テーブルの例である。It is an example of a determination threshold value table. 判定結果テーブルの例である。It is an example of a determination result table. 不正利用検出機能における不正利用判定処理を表すフローチャートの例である。It is an example of the flowchart showing the unauthorized use determination process in an unauthorized use detection function. モバイル端末装置において不正利用検出を行う場合のシステム構成及び動作の流れを表す図の例である。It is an example of the figure showing the system configuration | structure in the case of performing unauthorized use detection in a mobile terminal device, and the flow of operation | movement.

以下、本発明の一実施形態を添付図面に基づいて説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the accompanying drawings.

図1は実施形態を示し、本発明を適用する計算機システムのハードウェア構成を示すブロック図である。   FIG. 1 is a block diagram illustrating a hardware configuration of a computer system to which the present invention is applied according to an embodiment.

図1において、ネットワーク101にはユーザが業務を行うモバイル端末装置110と、ユーザの端末操作を分析し不正利用の監視を行う操作分析サーバ130と、ユーザが業務を行うためのアプリケーションプログラムが動作する業務Webサーバ170が接続されている。   In FIG. 1, a mobile terminal device 110 on which a user performs business, an operation analysis server 130 that analyzes user terminal operations and monitors unauthorized use, and an application program for the user to perform business operate on the network 101. A business Web server 170 is connected.

モバイル端末装置110は、演算処理を行うCPU111と、プログラムやデータを格納するメモリ112と、ネットワーク101を介して他のサーバと通信を行う通信インターフェース113と、モバイル端末の位置を検出するための位置検出モジュール114と、モバイル端末の加速度を測定するための加速度センサ115と、操作画面を表示するための画面表示装置116と、画面表示装置においてユーザが触れた位置を検出するためのタッチセンサ117を備える。ユーザはタッチセンサ117を操作することによりWebブラウザ121を操作する。通信インターフェース113とネットワーク101の接続は、有線ネットワークもしくは無線ネットワークのどちらでもよい。   The mobile terminal device 110 includes a CPU 111 that performs arithmetic processing, a memory 112 that stores programs and data, a communication interface 113 that communicates with other servers via the network 101, and a position for detecting the position of the mobile terminal. A detection module 114, an acceleration sensor 115 for measuring the acceleration of the mobile terminal, a screen display device 116 for displaying an operation screen, and a touch sensor 117 for detecting a position touched by the user on the screen display device. Prepare. The user operates the web browser 121 by operating the touch sensor 117. The connection between the communication interface 113 and the network 101 may be a wired network or a wireless network.

モバイル端末装置110のメモリ112には、Webブラウザ121が、プログラムとして存在する。さらにWebブラウザ121は、業務Webサーバ170からのレスポンスを画面表示するレンダリングエンジン122と、レスポンスに含まれる操作記録機能124および操作ログ送信機能125を実行するスクリプトエンジン123を含む。操作記録機能124は、ユーザがWebブラウザ121上で行った操作を操作ログとして記録し、操作ログ送信機能125は、記録された操作ログを操作分析サーバ130へ送信する。   A web browser 121 exists as a program in the memory 112 of the mobile terminal device 110. Further, the web browser 121 includes a rendering engine 122 that displays a response from the business web server 170 on a screen, and a script engine 123 that executes an operation recording function 124 and an operation log transmission function 125 included in the response. The operation recording function 124 records an operation performed by the user on the Web browser 121 as an operation log, and the operation log transmission function 125 transmits the recorded operation log to the operation analysis server 130.

操作分析サーバ130は、CPU131と、メモリ132と、通信インターフェース133と、ディスクコントローラ134と、ローカルディスク135と、を備える。操作分析サーバ130のメモリ132には、操作分析プログラム141が存在し、操作分析プログラム141は、操作記録モジュール挿入機能142と、レスポンス改変機能143と、不正利用検出機能144と、を含む。CPU131がメモリに記録されている各種プログラムを読み出して実行することにより、各種機能を実現する。また、ローカルディスク135には、操作ログテーブル145と、操作特徴量テーブル146と、操作特徴量重みテーブル147と、判定閾値テーブル148と、判定結果テーブル149が格納されている。   The operation analysis server 130 includes a CPU 131, a memory 132, a communication interface 133, a disk controller 134, and a local disk 135. An operation analysis program 141 exists in the memory 132 of the operation analysis server 130, and the operation analysis program 141 includes an operation record module insertion function 142, a response modification function 143, and an unauthorized use detection function 144. Various functions are realized by the CPU 131 reading and executing various programs recorded in the memory. The local disk 135 also stores an operation log table 145, an operation feature value table 146, an operation feature value weight table 147, a determination threshold value table 148, and a determination result table 149.

業務Webサーバ170は、CPU171と、メモリ172と、通信インターフェース173と、ディスクコントローラ174と、ローカルディスク175と、を備える。操作分析サーバ170のメモリ172には、業務アプリケーションプログラム181が存在する。ここで業務アプリケーションプログラム181は、例えば、メール送受信、商品在庫管理、勤怠管理、営業案件管理などをWebブラウザから操作することが可能なプログラムである。   The business Web server 170 includes a CPU 171, a memory 172, a communication interface 173, a disk controller 174, and a local disk 175. A business application program 181 exists in the memory 172 of the operation analysis server 170. Here, the business application program 181 is a program capable of operating e-mail transmission / reception, merchandise inventory management, attendance management, business case management, and the like from a Web browser.

はじめに、図2から図7を用いて、不正利用判定処理に必要な操作特徴量重みを算出する処理について説明する。   First, a process for calculating the operation feature amount weight necessary for the unauthorized use determination process will be described with reference to FIGS.

図2は、操作特徴量重みを算出する際の処理の流れを表すシステム構成図である。   FIG. 2 is a system configuration diagram showing the flow of processing when calculating the operation feature amount weight.

ユーザはモバイル端末装置110のWebブラウザ121を用いて、業務Webサーバ170で動作する業務アプリケーション181にアクセスする。Webブラウザ121がリクエスト(S201)を発行すると、そのリクエストを操作分析サーバ130の操作記録モジュール142がトラップし、操作記録モジュール142が同一のリクエストを業務Webサーバ170の業務アプリケーション181へ送信する(S202)。業務アプリケーション181はリクエストに対するレスポンスを送信し(S203)、操作記録モジュール142は受信したレスポンスへ操作記録機能124および操作ログ送信機能125を埋め込んで、Webブラウザ121へ送信する(S205)。   The user accesses the business application 181 running on the business web server 170 using the web browser 121 of the mobile terminal device 110. When the Web browser 121 issues a request (S201), the operation recording module 142 of the operation analysis server 130 traps the request, and the operation recording module 142 transmits the same request to the business application 181 of the business Web server 170 (S202). ). The business application 181 transmits a response to the request (S203), and the operation recording module 142 embeds the operation recording function 124 and the operation log transmission function 125 in the received response and transmits them to the Web browser 121 (S205).

Webブラウザ121では業務アプリケーション181の画面が表示されるが、同時に操作記録機能124および操作ログ送信機能125がスクリプトエンジン123において実行される。画面上でユーザが操作を行った場合(S206)、その操作内容を操作記録機能124が記録し(S207)、操作ログ送信機能125が操作分析サーバ130へ送信する(S208)。   Although the screen of the business application 181 is displayed on the Web browser 121, the operation recording function 124 and the operation log transmission function 125 are simultaneously executed in the script engine 123. When the user performs an operation on the screen (S206), the operation recording function 124 records the operation content (S207), and the operation log transmission function 125 transmits it to the operation analysis server 130 (S208).

操作分析サーバ130上の不正利用検出機能144はモバイル端末装置110からの操作ログを受信すると、操作ログテーブル145へ操作ログを格納する。さらに、受信した操作ログから操作特徴量を算出し、操作特徴量テーブル146に格納する(S209)。さらに、操作特徴量テーブル146から特徴量の重みを算出し、操作特徴量重みテーブル147へ格納する(S210)。   Upon receiving the operation log from the mobile terminal device 110, the unauthorized use detection function 144 on the operation analysis server 130 stores the operation log in the operation log table 145. Further, an operation feature value is calculated from the received operation log and stored in the operation feature value table 146 (S209). Further, a feature weight is calculated from the operation feature table 146 and stored in the operation feature weight table 147 (S210).

上記のように、操作記録モジュール142が、モバイル端末装置110へのレスポンスS205に操作記録機能124および操作ログ送信機能125を埋め込むことによって、モバイル端末装置110および業務Webサーバ170を変更することなく、自動的にWebブラウザ121において操作記録機能124および操作ログ送信機能125を動作させることが可能となる。   As described above, the operation recording module 142 embeds the operation recording function 124 and the operation log transmission function 125 in the response S205 to the mobile terminal device 110 without changing the mobile terminal device 110 and the business Web server 170. It is possible to automatically operate the operation recording function 124 and the operation log transmission function 125 in the Web browser 121.

図3に、操作ログテーブル145の一例を示す。   FIG. 3 shows an example of the operation log table 145.

操作ログテーブル145には、ユーザを識別するためのID301、操作が行われた日時302、操作が行われたWebページのURL303、操作によって発生したイベントの種別304、イベント種別に応じた属性値305が含まれる。   The operation log table 145 includes an ID 301 for identifying the user, the date and time 302 when the operation was performed, the URL 303 of the Web page where the operation was performed, the type 304 of the event generated by the operation, and the attribute value 305 corresponding to the event type. Is included.

例として、ユーザがWebページを表示した際には、イベント種別が“load”である操作ログレコードが記録される。ユーザが別のWebページを表示したり、Webブラウザを終了した場合には、イベント種別“unload”が記録される。また、ユーザがタッチパネルに手を触れた際には、イベント種別が“touchstart”、タッチパネルから手を離した際には、イベント種別が“touchend”である操作ログレコードが記録される。この際、属性値には手を触れたもしくは離した際のタッチパネル上の座標が記録される。   As an example, when a user displays a Web page, an operation log record having an event type “load” is recorded. When the user displays another Web page or exits the Web browser, the event type “unload” is recorded. In addition, when the user touches the touch panel, an operation log record with the event type “touchstart” is recorded, and when the user releases the touch panel, an operation log record with the event type “touchend” is recorded. At this time, coordinates on the touch panel when the hand is touched or released are recorded in the attribute value.

また、ユーザがWebブラウザ上に表示されたWebページをスクロールさせた場合には、イベント種別“scroll”がスクロール移動量とともに記録される。   Further, when the user scrolls the Web page displayed on the Web browser, the event type “scroll” is recorded together with the scroll movement amount.

また、ユーザがWebページ内の入力欄にテキストを入力した場合は、その内容が“keypress”として記録される。   Further, when the user inputs text in the input field in the Web page, the content is recorded as “keypress”.

また、ユーザがWebページ上に表示されたボタンや他のWebページへのリンクなどを押した場合には、“click”が記録される。   When the user presses a button displayed on the Web page or a link to another Web page, “click” is recorded.

また、ユーザがモバイル端末装置110の画面表示方向(縦長方向または横長方向)を変更した場合には、イベント種別”orientationchange”が記録される。   In addition, when the user changes the screen display direction (vertical direction or horizontal direction) of the mobile terminal apparatus 110, the event type “orientation change” is recorded.

また、位置検出モジュール114から取得された端末位置情報(緯度、経度、移動速度)は、イベント種別“geolocation”として記録される。   Further, the terminal position information (latitude, longitude, moving speed) acquired from the position detection module 114 is recorded as the event type “geolocation”.

また、加速度センサ115から取得された加速度情報は、イベント種別“devicemotion”として記録される。   The acceleration information acquired from the acceleration sensor 115 is recorded as the event type “devicemotion”.

図4に、操作特徴量テーブル146の一例を示す。   FIG. 4 shows an example of the operation feature amount table 146.

操作特徴量テーブル146には、WebページのURL401、ユーザを識別するためのID402、モバイル端末装置の利用状況403の組み合わせに対し、N個の操作特徴量404から406が記録される。ここでは、利用状況が机上である場合のユーザXの操作特徴量Viの値をVXi_Dと記載し、利用状況が手持ちである場合をVXi_Hと記載している。利用状況403については、図7の説明において詳細を述べる。In the operation feature value table 146, N operation feature values 404 to 406 are recorded for combinations of the URL 401 of the Web page, the ID 402 for identifying the user, and the usage status 403 of the mobile terminal device. Here, the value of the operation feature value V i of the user X when the usage status is on the desk is described as V Xi_D, and the case where the usage status is handheld is described as V Xi_H . The usage status 403 will be described in detail in the description of FIG.

操作特徴量は、モバイル端末の加速度センサ115で取得される加速度情報、位置検出モジュール114で取得される位置情報、さらにはタッチセンサ117で取得されるタッチパネルの操作情報などから算出される。   The operation feature amount is calculated from acceleration information acquired by the acceleration sensor 115 of the mobile terminal, position information acquired by the position detection module 114, touch panel operation information acquired by the touch sensor 117, and the like.

ここで操作特徴量とは、例えば次のようなものである。“load”から“unload”までの所要時間から算出されるページの閲覧時間、“touchstart”から“touchend”までの所要時間の平均から算出されるタッチ平均時間、スクロール移動量およびスクロール時のタッチ所要時間から算出されるスクロール操作速度、“touchstart”および“touchend”の座標から算出されるタッチパネル上でのスクロール操作位置、“touchstart”および“touchend”の座標から算出されるタッチ操作によるWebページ表示の拡大・縮小の操作方向および頻度、“keypress”から算出される文字の入力速度、“orientationchange”に記録された画面表示方向(縦長/横長)、“devicemotion”に記録された加速度から算出される端末の角度および振動量である。   Here, the operation feature amount is, for example, as follows. Page browsing time calculated from the time required from “load” to “unload”, touch average time calculated from the average time required from “touchstart” to “touchend”, scroll movement amount, and touch required during scrolling The scroll operation speed calculated from the time, the scroll operation position on the touch panel calculated from the coordinates of “touchstart” and “touchend”, and the Web page display by the touch operation calculated from the coordinates of “touchstart” and “touchend” Operation direction and frequency of enlargement / reduction, character input speed calculated from “keypress”, screen display direction (vertical / horizontal) recorded in “orientation change”, recorded in “devicemotion” And the angle and the vibration amount of the terminal which is calculated from the acceleration.

また、操作特徴量テーブル146は、Webページ毎に全てのユーザについて各々の操作特徴量を平均した操作特徴量平均値Vi_avgが格納されている。In addition, the operation feature value table 146 stores an operation feature value average value Vi_avg obtained by averaging the operation feature values for all the users for each Web page.

図5に、操作特徴量重みテーブル147の一例を示す。   FIG. 5 shows an example of the operation feature amount weight table 147.

操作特徴量重みテーブル147には、WebページのURL501、ユーザを識別するためのID502、モバイル端末装置の利用状況503の組み合わせに対し、N個の操作特徴量重み504から506が含まれる。ここでは、ユーザXの操作特徴量Viに対する操作特徴量重みの値Wiを、WXi_Dと記載している。The operation feature amount weight table 147 includes N operation feature amount weights 504 to 506 for combinations of the URL 501 of the Web page, the ID 502 for identifying the user, and the usage status 503 of the mobile terminal device. Here, the operation feature weight value W i for the operation feature V i of the user X is described as W Xi_D .

図6に、不正利用検出機能144における特徴量重み算出処理のフローチャートを示す。   FIG. 6 is a flowchart of the feature amount weight calculation process in the unauthorized use detection function 144.

モバイル端末装置110からのユーザの操作ログを受信すると、その操作ログを操作ログテーブル145へ書き込む(S601)。次に、受信した操作ログを基に、当該ユーザの操作特徴量を算出する(S602)。次に、図7で述べる利用状況判定処理により、当該ユーザのモバイル端末の利用状況を判定する(S603)。当該WebページURLおよび当該ユーザおよび利用状況に対し、操作特徴量を操作特徴量テーブル146へ書き込み(S604)、操作特徴量テーブル146における平均値Vi_avgを再度算出し更新する(S604)。When a user operation log is received from the mobile terminal device 110, the operation log is written into the operation log table 145 (S601). Next, based on the received operation log, the operation feature amount of the user is calculated (S602). Next, the usage status of the user's mobile terminal is determined by the usage status determination process described in FIG. 7 (S603). For the Web page URL, the user, and the usage status, the operation feature value is written to the operation feature value table 146 (S604), and the average value V i_avg in the operation feature value table 146 is calculated again and updated (S604).

さらに数1によって操作特徴量重みを算出し、当該ユーザのS604で判定した利用状況における操作特徴量重みを記録する(S606)。   Further, the operation feature amount weight is calculated by Equation 1, and the operation feature amount weight in the use situation determined in S604 of the user is recorded (S606).

Figure 0006014746
Figure 0006014746

数1における操作特徴量重み算出は、全ユーザの平均からより異なっている特徴量の重みを高くするようになっている。これにより、各ユーザの特徴が出やすい操作に対して特徴量重みが高くなるため、不正利用検出精度の向上効果が得られる。   In the calculation of the operation feature amount weight in Equation 1, the weight of the feature amount that is different from the average of all users is increased. As a result, the feature weight is increased with respect to an operation in which the features of each user tend to appear, so that an effect of improving the unauthorized use detection accuracy can be obtained.

図7に、不正利用検出機能144における利用状況判定処理S603のフローチャートの例を示す。   FIG. 7 shows an example of a flowchart of usage status determination processing S603 in the unauthorized usage detection function 144.

操作特徴量テーブル146に格納された振動量を用いて、振動量が一定値以上かを判定する(S701)。振動量が一定値より大きい場合は、振動周期が一定値以下であるか判定する(S702)。振動周期が一定値以下である場合は、電車や自動車等に「乗車中」であると判定する(S703)。振動周期が一定以上である場合は、端末角度に変動があるかを判定し(S704)、変動がある場合は端末を「手持ち歩行中」であると判定する(S705)。端末角度に変動が無い場合は、利用状況を「その他不明」とする(S706)。S701において振動量が一定値以下である場合も、S704と同様に端末角度に変動があるがを判定し(S707)、変動がある場合は端末を「手持ち静止中」であると判定する(S708)。端末角度に変動が無い場合は、利用状況を「机上」とする(S709)。   Using the vibration amount stored in the operation feature amount table 146, it is determined whether the vibration amount is a certain value or more (S701). If the vibration amount is greater than a certain value, it is determined whether the vibration period is equal to or less than the certain value (S702). If the vibration period is equal to or less than a certain value, it is determined that the vehicle is “on board” (S703). If the vibration period is greater than or equal to a certain value, it is determined whether the terminal angle has changed (S704), and if there is a change, the terminal is determined to be “hand-held walking” (S705). When there is no change in the terminal angle, the usage status is set to “other unknown” (S706). Even when the vibration amount is equal to or smaller than a certain value in S701, it is determined whether there is a change in the terminal angle as in S704 (S707), and if there is a change, the terminal is determined to be “hand-held still” (S708). ). When there is no change in the terminal angle, the usage status is set to “desktop” (S709).

上記では端末角度および振動量により判定処理を行う例を示したが、端末位置情報を組み合わせて判定してもよい。   In the above description, the determination process is performed based on the terminal angle and the vibration amount. However, the determination may be performed by combining the terminal position information.

モバイル端末装置は、机上に置いて両手で操作する場合と、片手で持ちもう一方の手で操作する場合で操作の傾向が大きく異なる。また歩行中や、電車や自動車等に乗車中などでは周囲の環境により操作の傾向が変わる可能性がある。そのため上記のように振動量や端末角度からモバイル端末装置の利用状況を判定(S604)して、利用状況毎の操作特徴量重みを算出することにより、不正利用検出精度の向上が期待できる。   The mobile terminal device has a great tendency to operate when it is placed on a desk and operated with both hands, and when it is held with one hand and operated with the other hand. In addition, the tendency of operation may change depending on the surrounding environment while walking or getting on a train or car. For this reason, as described above, the usage status of the mobile terminal device is determined from the vibration amount and the terminal angle (S604), and the operation feature value weight for each usage status is calculated, so that it is expected to improve the unauthorized usage detection accuracy.

以上まで、操作特徴量重みを算出する際の処理について説明した。次に、ユーザがアクセスした際に不正利用検出処理を行う際の処理の流れについて図8から図11を用いて説明する。   In the above, the process at the time of calculating operation feature-value weight was demonstrated. Next, the flow of processing when performing unauthorized use detection processing when a user accesses will be described with reference to FIGS.

図8は、不正利用検出処理の流れを表すシステム構成図である。   FIG. 8 is a system configuration diagram showing the flow of unauthorized use detection processing.

ユーザが、Webブラウザ121において業務アプリケーション181の画面を表示して操作を行うと(S801)、操作記録機能124および操作ログ送信機能125により、その操作ログが操作分析サーバ130へ送信される(S802、S803)。操作分析サーバ130上の不正利用検出機能144はモバイル端末装置110からの操作ログを受信すると、操作ログテーブル145へ操作ログを格納する。さらに、受信した操作ログから操作特徴量を算出し、当該ユーザIDに対応する操作特徴量および操作特徴量重みを、操作特徴量テーブル146および操作特徴量重みテーブル147から取得する。受信した操作ログから算出された操作特徴量と、操作特徴量テーブル146に記録されている操作特徴量の類似度を算出する。この時、操作特徴量重みテーブル147に記録されている操作特徴量重みを使用して操作特徴量の類似度を重みつきで算出する。これにより、正規ユーザの特徴が表れやすい特徴量をより重視して操作特徴量の類似度を算出することが可能となり、不正利用の判定精度の向上が可能となる。この特徴量の重み付き類似度の算出方法については後述の図11の説明において詳細に説明する。この特徴量の重み付き類似度を不正利用確度とする。算出された不正利用確度に対して、判定閾値テーブル148に格納されている判定閾値と比較することにより不正利用判定結果を算出し、判定結果テーブル149に格納する(S804)。   When the user performs an operation by displaying the screen of the business application 181 on the Web browser 121 (S801), the operation log is transmitted to the operation analysis server 130 by the operation recording function 124 and the operation log transmission function 125 (S802). , S803). Upon receiving the operation log from the mobile terminal device 110, the unauthorized use detection function 144 on the operation analysis server 130 stores the operation log in the operation log table 145. Further, an operation feature value is calculated from the received operation log, and an operation feature value and an operation feature value weight corresponding to the user ID are acquired from the operation feature value table 146 and the operation feature value weight table 147. The similarity between the operation feature amount calculated from the received operation log and the operation feature amount recorded in the operation feature amount table 146 is calculated. At this time, using the operation feature value weight recorded in the operation feature value weight table 147, the similarity of the operation feature value is calculated with a weight. As a result, it is possible to calculate the similarity of the operation feature amount by placing more importance on the feature amount in which the feature of the authorized user is likely to appear, and it is possible to improve the determination accuracy of unauthorized use. A method for calculating the weighted similarity of the feature amount will be described in detail in the description of FIG. The weighted similarity of this feature amount is used as an unauthorized use probability. The unauthorized use determination result is calculated by comparing the calculated unauthorized use accuracy with the determination threshold stored in the determination threshold table 148, and stored in the determination result table 149 (S804).

その後、ユーザからWebページのリクエストが行われた場合、S805からS808の流れは図2におけるS201からS204の流れと同一であるが、レスポンス改変機能143は、判定結果テーブル149を参照し、当該ユーザにおける判定結果を基に、モバイル端末装置110へのレスポンスを改変する(S809)。   Thereafter, when a web page request is made from the user, the flow from S805 to S808 is the same as the flow from S201 to S204 in FIG. 2, but the response modification function 143 refers to the determination result table 149 and The response to the mobile terminal device 110 is modified based on the determination result in (S809).

不正利用の可能性が疑われる場合の再認証において、常にモバイル端末におけるユーザIDやパスワードの再入力をさせることは、ユーザにとって操作が煩雑となる。そこで、本実施例では、不正利用確度に応じて再認証の方法を切り替える。これにより、ユーザIDやパスワードによる煩雑な認証を行わずにすむため、ユーザビリティを向上させることが可能となる。以下、詳細に説明する。   In re-authentication when the possibility of unauthorized use is suspected, it is complicated for the user to always re-enter the user ID and password in the mobile terminal. Therefore, in this embodiment, the re-authentication method is switched according to the unauthorized use accuracy. This eliminates the need for complicated authentication using a user ID or password, thus improving usability. Details will be described below.

図9に、判定閾値テーブル148の一例を示す。   FIG. 9 shows an example of the determination threshold value table 148.

判定閾値テーブル148には、レスポンス種別901、および、各レスポンス種別に対応した判定閾値902が含まれる。判定閾値902は、端末が管理エリア内にある場合の判定閾値903と、管理エリア外にある場合の判定閾値904からなる。管理エリア外の場合の判定閾値905はさらに、ユーザのアクセス先がWebサイトAである場合の判定閾値905と、WebサイトBである場合の判定閾値906からなる。ここで管理エリアとは、端末が安全に利用可能な場所であり、例えばオフィスの執務室である。この例では、管理エリア外の場合の判定閾値904のみがアクセス先のWebサイトにより異なる判定閾値が設定されているが、管理エリア内の場合の判定閾値903についても同様にWebサイト毎に判定閾値を設定してもよい。   The determination threshold value table 148 includes a response type 901 and a determination threshold value 902 corresponding to each response type. The determination threshold value 902 includes a determination threshold value 903 when the terminal is in the management area and a determination threshold value 904 when the terminal is outside the management area. The determination threshold value 905 in the case of outside the management area further includes a determination threshold value 905 when the user access destination is the website A and a determination threshold value 906 when the user is the website B. Here, the management area is a place where the terminal can be used safely, for example, an office office. In this example, only the determination threshold value 904 in the case of outside the management area is set to be different depending on the website of the access destination. Similarly, the determination threshold value 903 in the management area is also determined for each website. May be set.

端末の位置情報から端末が管理エリア内にあるか判定し、管理エリア内にある場合は、不正利用確度がTIN_1以上である場合に判定結果はアクセス拒否となり、不正利用確度がTIN_1未満TIN_2以上である場合に判定結果は認証要となり、不正利用確度がTIN_2未満TIN_3以上である場合に判定結果は再操作要となり、不正利用確度がTIN_3未満である場合に判定結果は問題なしとなる。端末が管理エリア外にある場合も、TOUT_1〜TOUT_3を用いて同様に判定する。操作分析サーバは、端末が管理エリア内にあるかを判定するために、管理エリア内外に対応する位置情報を予め保持している。また、判定閾値は、操作分析サーバの管理者が、外部から設定可能である。It is determined from the location information of the terminal whether the terminal is in the management area. If the terminal is in the management area, if the unauthorized use accuracy is equal to or higher than T IN_1 , the determination result is an access rejection, and the unauthorized use accuracy is less than T IN_1 T determination results when it is IN_2 or become authentication necessity determination result is a re-operation is needed when it is fraud probability is T IN_2 less T IN_3 above problem determination result if fraud probability is less than T IN_3 None. Even if the terminal is outside the management area, similarly it determines using the T OUT_1 through T OUT_3. The operation analysis server holds in advance position information corresponding to the inside and outside of the management area in order to determine whether the terminal is within the management area. The determination threshold can be set from the outside by the administrator of the operation analysis server.

管理エリア外判定閾値904(TOUT_1〜TOUT_3)を管理エリア内判定閾値903(TIN_1〜TIN_3)より低く設定することにより、移動中など端末の盗難や紛失が発生しやすい状況における不正利用検出確率を向上させることが可能となる。また、アクセス先Webサイトに応じた判定閾値を使用することにより、機密性の高いWebサイトは判定閾値を厳しくし、機密性の低いWebサイトは判定閾値を緩くするといった、Webサイトの特性に応じた判定処理が可能となる。Unauthorized use in situations where the terminal is likely to be stolen or lost, such as while moving, by setting the threshold 904 outside the management area (T OUT_1 to T OUT_3 ) to be lower than the threshold 903 within the management area (T IN_1 to T IN_3 ) It is possible to improve the detection probability. Further, by using a determination threshold according to the access destination website, the determination threshold is tightened for a highly confidential website, and the determination threshold is loosened for a low confidential website. Judgment processing can be performed.

図10に、判定結果テーブル149の一例を示す。   FIG. 10 shows an example of the determination result table 149.

判定結果テーブル149には、ユーザID1001、および、各ユーザIDに対応した判定結果1002が含まれる。   The determination result table 149 includes a user ID 1001 and a determination result 1002 corresponding to each user ID.

レスポンス改変機能143は、ユーザからのリクエストが行われた際に、当該ユーザのユーザIDに対応する不正利用判定結果を判定結果テーブル149から取得し、不正利用判定結果に応じたレスポンス改変を行って、Webブラウザ121へレスポンスを送信する。   When a request from a user is made, the response modification function 143 obtains an unauthorized use determination result corresponding to the user ID of the user from the determination result table 149 and performs a response modification according to the unauthorized use determination result. Then, a response is transmitted to the Web browser 121.

不正利用判定結果が「アクセス拒否」である場合は、レスポンスを送信せず、ユーザからのアクセスを拒否する。不正利用判定結果が「認証要」である場合は、ユーザIDおよびパスワードによる認証用Webページへユーザを移動させる。不正利用判定結果が「再操作要」である場合は、操作特徴量の違いが表れやすい他のWebページへユーザを移動させる。ここで、ユーザをどのWebページへ移動させるかは、数2により当該ユーザにおける各Webページの操作特徴量感度を算出し、最も操作特徴量感度が高いWebページを移動先ページとして選択する。   If the unauthorized use determination result is “access denied”, the response from the user is not transmitted and the access from the user is denied. If the result of the unauthorized use determination is “authentication required”, the user is moved to an authentication Web page based on the user ID and password. If the result of the unauthorized use determination is “re-operation required”, the user is moved to another Web page where a difference in the operation feature amount is likely to appear. Here, as to which Web page the user is moved, the operation feature value sensitivity of each Web page for the user is calculated by Equation 2, and the Web page with the highest operation feature value sensitivity is selected as the destination page.

Figure 0006014746
Figure 0006014746

不正利用判定結果が「問題なし」である場合は、レスポンスを改変せずWebブラウザ121へ送信する。   If the unauthorized use determination result is “no problem”, the response is transmitted to the Web browser 121 without modification.

上記のとおり、不正利用確度に応じて再認証の方法を切り替えることにより、不正利用確度が大きくない場合にユーザIDやパスワードによる煩雑な認証手順を行わずに済むため、ユーザビリティを向上させることが可能となる。   As described above, by switching the re-authentication method according to the unauthorized use accuracy, it is possible to improve usability because it is not necessary to perform a complicated authentication procedure with a user ID or password when the unauthorized use accuracy is not large. It becomes.

図11に、不正利用検出機能144における不正利用判定処理のフローチャートを示す。   FIG. 11 shows a flowchart of the unauthorized use determination process in the unauthorized use detection function 144.

モバイル端末装置110からのユーザの操作ログを受信すると、その操作ログを操作ログテーブル145へ書き込む(S1101)。次に、受信した操作ログを基に、当該ユーザの操作特徴量を算出する(S1102)。次に、図7で述べた利用状況判定処理により、当該ユーザのモバイル端末の利用状況を判定する(S1103)。WebページURL、ユーザID、利用状況の組み合わせに対応する操作特徴量を、操作特徴量テーブル146から取得し(S1104)、数3により不正利用確度を算出する(S1105)。算出した不正利用確度と判定閾値テーブル148により、不正利用判定処理を行い、判定結果を判定結果テーブルへ書き込む(S1106)。   When a user operation log is received from the mobile terminal device 110, the operation log is written into the operation log table 145 (S1101). Next, based on the received operation log, the operation feature amount of the user is calculated (S1102). Next, the usage status of the user's mobile terminal is determined by the usage status determination process described in FIG. 7 (S1103). The operation feature amount corresponding to the combination of the Web page URL, the user ID, and the usage status is acquired from the operation feature amount table 146 (S1104), and the unauthorized use probability is calculated from Equation 3 (S1105). Based on the calculated unauthorized use accuracy and determination threshold table 148, unauthorized use determination processing is performed, and the determination result is written in the determination result table (S1106).

Figure 0006014746
Figure 0006014746

以上の実施例構成により、複数の操作特徴量の組み合わせ、および、ユーザ間の操作特徴量のばらつきを考慮するための操作特徴量重み算出判定処理により、不正利用検出精度を向上させることが可能となる。   With the above embodiment configuration, it is possible to improve the unauthorized use detection accuracy by the operation feature amount weight calculation determination process for considering the combination of a plurality of operation feature amounts and the variation of the operation feature amounts between users. Become.

また、不正利用確度に応じて再認証の方法を切り替えることにより、ユーザIDやパスワードによる煩雑な認証を行わずにすむため、ユーザビリティを向上させることが可能となる。   Further, by switching the re-authentication method according to the unauthorized use accuracy, it is not necessary to perform complicated authentication with a user ID or password, so that usability can be improved.

本実施例では、モバイル端末装置110側で不正利用判定処理を行う方法について示す。   In this embodiment, a method of performing unauthorized use determination processing on the mobile terminal device 110 side will be described.

図12に、モバイル端末装置110側で不正利用判定処理を行う場合のシステム構成および処理の流れを示す。   FIG. 12 shows a system configuration and a process flow when the unauthorized use determination process is performed on the mobile terminal apparatus 110 side.

ユーザはモバイル端末装置110のWebブラウザ121を用いて、業務Webサーバ170で動作する業務アプリケーション181にアクセスする。Webブラウザ121がリクエスト(S1201)を発行すると、そのリクエストを操作分析サーバ130の操作記録モジュール142がトラップし、操作記録モジュール142が同一のリクエストを業務Webサーバ170の業務アプリケーション181へ送信する(S1202)。業務アプリケーション181はリクエストに対するレスポンスを送信し(S1203)、操作記録モジュール142は受信したレスポンスへ操作記録機能124および端末側不正利用検出機能150を埋め込んで、Webブラウザ121へ送信する(S1205)。この際、端末側不正利用検出機能150には、操作分析サーバの操作特徴量テーブル146、操作特徴量重みテーブル147、判定閾値テーブル148の当該ユーザに関する情報が送信される(S1204)。   The user accesses the business application 181 running on the business Web server 170 using the Web browser 121 of the mobile terminal device 110. When the Web browser 121 issues a request (S1201), the operation recording module 142 of the operation analysis server 130 traps the request, and the operation recording module 142 transmits the same request to the business application 181 of the business Web server 170 (S1202). ). The business application 181 transmits a response to the request (S1203), and the operation recording module 142 embeds the operation recording function 124 and the terminal side unauthorized use detection function 150 in the received response, and transmits them to the Web browser 121 (S1205). At this time, information related to the user in the operation feature table 146, the operation feature value weight table 147, and the determination threshold value table 148 of the operation analysis server is transmitted to the terminal side unauthorized use detection function 150 (S1204).

ユーザが、Webブラウザ121において業務アプリケーション181の画面を表示して操作を行うと(S1206)、操作記録機能124により操作内容が取得される(S1207)。   When the user performs an operation by displaying the screen of the business application 181 on the Web browser 121 (S1206), the operation content is acquired by the operation recording function 124 (S1207).

端末側不正利用検出機能150は、取得された操作内容および操作特徴量テーブル146、操作特徴量重みテーブル147、判定閾値テーブル148から、不正利用判定処理を行い、その結果を判定結果テーブル149へ格納する。この際の判定処理方法は、図11に記載のものと同一である。   The terminal side unauthorized use detection function 150 performs unauthorized use determination processing from the acquired operation content and operation feature amount table 146, operation feature amount weight table 147, and determination threshold value table 148, and stores the result in the determination result table 149. To do. The determination processing method at this time is the same as that shown in FIG.

端末側不正利用検出機能150は、判定処理結果に基づいて、Webブラウザ121へページ遷移リクエストを行う(S1209)。   The terminal-side unauthorized use detection function 150 makes a page transition request to the Web browser 121 based on the determination processing result (S1209).

以上の通り、モバイル端末装置110において不正利用検出処理を行うことにより、ユーザがWebページにアクセスするタイミングに限らず、任意のタイミングで不正利用検出処理を行うことが可能である。   As described above, by performing unauthorized use detection processing in the mobile terminal device 110, it is possible to perform unauthorized use detection processing at any timing, not limited to the timing at which the user accesses the Web page.

以上の実施例1および実施例2では、操作記録機能124、操作ログ送信機能125、端末側不正利用検出機能150は、Webブラウザ121上で動作するものとして説明したが、Webブラウザでなく、業務アプリケーションに対応した独立したプログラムであってもよい。   In the first and second embodiments described above, the operation recording function 124, the operation log transmission function 125, and the terminal-side unauthorized use detection function 150 have been described as operating on the Web browser 121. It may be an independent program corresponding to the application.

また、操作分析プログラム141を業務サーバ170の上で動作させ、操作分析サーバ130を不要としてもよい。   Further, the operation analysis program 141 may be operated on the business server 170 so that the operation analysis server 130 is not necessary.

なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。   In addition, this invention is not limited to an above-described Example, Various modifications are included. For example, the above-described embodiments have been described in detail for easy understanding of the present invention, and are not necessarily limited to those having all the configurations described. Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment. Each of the above-described configurations, functions, processing units, processing means, and the like may be realized by hardware by designing a part or all of them with, for example, an integrated circuit. Each of the above-described configurations, functions, and the like may be realized by software by interpreting and executing a program that realizes each function by the processor. Information such as programs, tables, and files for realizing each function can be stored in a recording device such as a memory, a hard disk, an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, or a DVD.

また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。   Further, the control lines and information lines indicate what is considered necessary for the explanation, and not all the control lines and information lines on the product are necessarily shown. Actually, it may be considered that almost all the components are connected to each other.

110 モバイル端末装置
130 操作分析サーバ
170 業務Webサーバ
121 Webブラウザ
141 操作分析プログラム
142 操作記録モジュール挿入機能
143 レスポンス改変機能
144 不正利用検出機能
145 操作ログテーブル
146 操作特徴量テーブル
147 操作特徴量重みテーブル
148 判定閾値テーブル
149 判定結果テーブル
181 業務アプリケーションDESCRIPTION OF SYMBOLS 110 Mobile terminal device 130 Operation analysis server 170 Business Web server 121 Web browser 141 Operation analysis program 142 Operation recording module insertion function 143 Response modification function 144 Unauthorized use detection function 145 Operation log table 146 Operation feature amount table 147 Operation feature amount weight table 148 Judgment threshold table 149 Judgment result table 181 Business application

Claims (14)

ユーザの操作ログから算出される一つ以上の種類の操作特徴量と、前記操作特徴量の種類ごとに算出される複数のユーザの前記操作特徴量の平均と前記ユーザの操作特徴量から算出される前記ユーザの一つ以上の種類の操作特徴量の重みと、を記録し、
端末装置の操作ログを取得し、
操作ログから一つ以上の種類の操作特徴量を算出し、
算出した操作特徴量と、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量との類似度を、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量の重みを用いて算出し、前記端末装置の不正利用を検出する不正利用検出方法。 Calculated from one or more types of operation feature quantities calculated from user operation logs, an average of the operation feature quantities of a plurality of users calculated for each type of operation feature quantity, and the user operation feature quantities And the weight of one or more kinds of operation feature values of the user,
Acquire terminal device operation logs,
Calculating the operating characteristic quantity of one or more types from the operation log,
The recording of the operation feature amount the calculated degree of similarity between the operation characteristic of the recorded user for the type of operation feature quantities thus calculated, corresponding to the type of operation feature amount thus calculated It has been calculated using the weight of the operation characteristic of the user, fraud detection method for detecting unauthorized use of the terminal device. 請求項1に記載の不正利用検出方法であって、
前記端末装置の加速度情報、位置情報、又は前記端末装置のタッチパネルの操作情報の少なくとも1つを用いて、前記一つ以上の種類の操作特徴量を算出することを特徴する不正利用検出方法。 An unauthorized use detection method according to claim 1,
An unauthorized use detection method characterized in that the one or more types of operation feature quantities are calculated using at least one of acceleration information, position information of the terminal device, and operation information of a touch panel of the terminal device. 請求項1に記載の不正利用検出方法であって、
前記操作特徴量から前記端末装置の利用状況を判定し、
前記判定された利用状況に対応する前記ユーザの一つ以上の種類の操作特徴量の重みを用いて、前記類似度を算出することを特徴とする不正利用検出方法。 An unauthorized use detection method according to claim 1,
The usage status of the terminal device is determined from the operation feature amount,
An unauthorized use detection method, wherein the similarity is calculated using a weight of one or more types of operation feature amounts of the user corresponding to the determined use situation. 請求項1に記載の不正利用検出方法であって、
前記ユーザが閲覧したWebページごとに、前記一つ以上の種類の操作特徴量と前記一つ以上の種類の操作特徴量の重みを記録することを特徴とする不正利用検出方法。 An unauthorized use detection method according to claim 1,
An unauthorized use detection method, wherein the one or more types of operation feature values and the weight of the one or more types of operation feature values are recorded for each Web page browsed by the user. 請求項1に記載の不正利用検出方法であって、
前記類似度に応じて認証方法を変更することを特徴とする不正利用検出方法。 An unauthorized use detection method according to claim 1,
An unauthorized use detection method, wherein an authentication method is changed according to the similarity. 請求項5に記載の不正利用検出方法であって、
前記類似度と所定の閾値を比較し、
前記比較結果に応じて、Webページへのアクセスを拒否するか、再認証用Webページを前記端末装置に表示するか、又は前記端末装置のユーザが再操作を行うためのWebページを前記端末装置に表示するか、何れか1つを選択することを特徴とする不正利用検出方法。 The unauthorized use detection method according to claim 5,
Comparing the similarity with a predetermined threshold;
Depending on the comparison result, access to a web page is denied, a web page for re-authentication is displayed on the terminal device, or a web page for the user of the terminal device to perform a re-operation is displayed on the terminal device Or any one of them is displayed. 請求項6に記載の不正利用検出方法であって、
アクセス先のWebサイト、または、前記端末装置の位置情報に応じて、前記所定の閾値を変更することを特徴とする不正利用検出方法。 An unauthorized use detection method according to claim 6,
An unauthorized use detection method, wherein the predetermined threshold value is changed in accordance with an access destination website or position information of the terminal device. ユーザの操作ログから算出される一つ以上の種類の操作特徴量と、前記操作特徴量の種類ごとに算出される複数のユーザの前記操作特徴量の平均と前記ユーザの操作特徴量から算出される前記ユーザの一つ以上の種類の操作特徴量の重みと、を記録する記録部と、
端末装置の操作ログを取得する操作ログ取得部と、
操作ログから一つ以上の種類の操作特徴量を算出する操作特徴量算出部と、
算出した操作特徴量と、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量との類似度を、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量の重みを用いて算出し、前記端末装置の不正利用を検出する不正利用検出部と、を有することを特徴とする不正利用検出装置。 Calculated from one or more types of operation feature quantities calculated from user operation logs, an average of the operation feature quantities of a plurality of users calculated for each type of operation feature quantity, and the user operation feature quantities A recording unit that records the weights of one or more types of operation feature quantities of the user;
An operation log acquisition unit for acquiring an operation log of the terminal device;
An operating characteristic amount calculating unit for calculating the operating characteristic quantity of one or more types from the operation log,
The recording of the operation feature amount the calculated degree of similarity between the operation characteristic of the recorded user for the type of operation feature quantities thus calculated, corresponding to the type of operation feature amount thus calculated has been calculated using the weight of the operation characteristic of the user, fraud detection apparatus characterized by having a fraud detector for detecting unauthorized use of the terminal device. 請求項8に記載の不正利用検出装置であって、
前記操作特徴量算出部は、前記端末装置の加速度情報、位置情報、又は前記端末装置のタッチパネルの操作情報の少なくとも1つを用いて、前記一つ以上の種類の操作特徴量を算出することを特徴する不正利用検出装置。 The unauthorized use detection device according to claim 8,
The operation feature amount calculation unit calculates the one or more types of operation feature amounts using at least one of acceleration information, position information, or operation information of the touch panel of the terminal device. Characterized unauthorized use detection device. 請求項8に記載の不正利用検出装置であって、
前記操作特徴量から前記端末装置の利用状況を判定する利用状況判定部を有し、
前記不正利用検出部は、前記判定された利用状況に対応する前記ユーザの一つ以上の種類の操作特徴量の重みを用いて、前記類似度を算出することを特徴とする不正利用検出装置。 The unauthorized use detection device according to claim 8,
A usage status determination unit that determines the usage status of the terminal device from the operation feature amount;
The unauthorized use detection device, wherein the unauthorized use detection unit calculates the similarity using weights of one or more types of operation feature amounts of the user corresponding to the determined use situation. 請求項8に記載の不正利用検出装置であって、
前記記録部は、前記ユーザが閲覧したWebページごとに、前記一つ以上の種類の操作特徴量と前記一つ以上の種類の操作特徴量の重みを記録することを特徴とする不正利用検出装置。 The unauthorized use detection device according to claim 8,
The recording unit records the weight of the one or more types of operation feature amounts and the one or more types of operation feature amounts for each Web page browsed by the user. . 請求項8に記載の不正利用検出装置であって、
前記類似度に応じて認証方法を変更することを特徴とする不正利用検出装置。 The unauthorized use detection device according to claim 8,
An unauthorized use detection apparatus, wherein an authentication method is changed according to the similarity. 請求項12に記載の不正利用検出装置であって、
前記類似度と所定の閾値を比較し、
前記比較結果に応じて、Webページへのアクセスを拒否するか、再認証用Webページを前記端末装置に表示するか、又は前記端末装置のユーザが再操作を行うためのWebページを前記端末装置に表示するか、何れか1つを選択することを特徴とする不正利用検出装置。 An unauthorized use detection device according to claim 12,
Comparing the similarity with a predetermined threshold;
Depending on the comparison result, access to a web page is denied, a web page for re-authentication is displayed on the terminal device, or a web page for the user of the terminal device to perform a re-operation is displayed on the terminal device Or any one of them is displayed. 請求項13に記載の不正利用検出装置であって、
アクセス先のWebサイト、または、前記端末装置の位置情報に応じて、前記所定の閾値を変更することを特徴とする不正利用検出装置。 An unauthorized use detection device according to claim 13,
An unauthorized use detection apparatus, wherein the predetermined threshold value is changed according to a Web site to be accessed or position information of the terminal device.
JP2015502685A 2013-03-01 2013-03-01 Unauthorized use detection method and unauthorized use detection device Expired - Fee Related JP6014746B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/055616 WO2014132431A1 (en) 2013-03-01 2013-03-01 Method for detecting unfair use and device for detecting unfair use

Publications (2)

Publication Number Publication Date
JP6014746B2 true JP6014746B2 (en) 2016-10-25
JPWO2014132431A1 JPWO2014132431A1 (en) 2017-02-02

Family

ID=51427731

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015502685A Expired - Fee Related JP6014746B2 (en) 2013-03-01 2013-03-01 Unauthorized use detection method and unauthorized use detection device

Country Status (3)

Country Link
US (1) US9589137B2 (en)
JP (1) JP6014746B2 (en)
WO (1) WO2014132431A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10028991B2 (en) 2011-07-12 2018-07-24 Gdb Patent Holdings, Llc Composition, and method of using the composition, effective for minimizing the harmful effects associated with individuals suffering from alcohol intoxication

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106714094B (en) * 2015-07-20 2021-03-02 阿里巴巴集团控股有限公司 Data processing method, device and system
RU2626337C1 (en) * 2016-02-18 2017-07-26 Акционерное общество "Лаборатория Касперского" Method of detecting fraudulent activity on user device
JP2017091496A (en) * 2016-04-21 2017-05-25 株式会社Cygames Information processing device, information processing method and program
JP6347557B2 (en) * 2016-05-03 2018-06-27 株式会社カウリス Service providing system, service providing method, verification device, verification method, and computer program
CN107346310B (en) 2016-05-05 2020-10-27 腾讯科技(深圳)有限公司 Account complaint processing method and server
RU2635275C1 (en) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" System and method of identifying user's suspicious activity in user's interaction with various banking services
CN106778389B (en) * 2016-11-25 2018-09-04 维沃移动通信有限公司 A kind of loss detection method and mobile terminal of mobile terminal
JP2019021094A (en) * 2017-07-19 2019-02-07 株式会社日立製作所 Web access control device
JP6923806B2 (en) * 2018-01-09 2021-08-25 富士通株式会社 Fraud detection devices, fraud detection methods, and fraud detection programs
JP6989464B2 (en) * 2018-08-30 2022-01-05 株式会社日立製作所 Software generation method and software generation system
CN111198797B (en) * 2019-12-27 2021-12-31 华为技术有限公司 Operation monitoring method and device and operation analysis method and device

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001092783A (en) * 1999-09-27 2001-04-06 Hitachi Software Eng Co Ltd Method and system for personal authentication, and recording medium
JP2008276453A (en) * 2007-04-27 2008-11-13 Toshiba Corp Behavior identification device and method
JP2009175984A (en) * 2008-01-23 2009-08-06 Nippon Telegr & Teleph Corp <Ntt> Principal authentication device, principal authentication method and principal authentication program
JP2011197802A (en) * 2010-03-17 2011-10-06 Ntt Comware Corp Analysis system for user feature and use tendency, and its processing method, and program
JP2011227569A (en) * 2010-04-15 2011-11-10 Mitsumi Electric Co Ltd Personal identification device

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006260454A (en) 2005-03-18 2006-09-28 Bank Of Tokyo-Mitsubishi Ufj Ltd Detection system for irregular operation by third party and its method
EP2348444B1 (en) * 2009-12-16 2014-03-19 Nxp B.V. Data processing apparatus
JP5803463B2 (en) * 2011-09-13 2015-11-04 日本電気株式会社 Security event monitoring apparatus, method and program
US9058486B2 (en) * 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
US8793255B1 (en) * 2012-05-11 2014-07-29 Google Inc. Generating a reputation score based on user interactions

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001092783A (en) * 1999-09-27 2001-04-06 Hitachi Software Eng Co Ltd Method and system for personal authentication, and recording medium
JP2008276453A (en) * 2007-04-27 2008-11-13 Toshiba Corp Behavior identification device and method
JP2009175984A (en) * 2008-01-23 2009-08-06 Nippon Telegr & Teleph Corp <Ntt> Principal authentication device, principal authentication method and principal authentication program
JP2011197802A (en) * 2010-03-17 2011-10-06 Ntt Comware Corp Analysis system for user feature and use tendency, and its processing method, and program
JP2011227569A (en) * 2010-04-15 2011-11-10 Mitsumi Electric Co Ltd Personal identification device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10028991B2 (en) 2011-07-12 2018-07-24 Gdb Patent Holdings, Llc Composition, and method of using the composition, effective for minimizing the harmful effects associated with individuals suffering from alcohol intoxication

Also Published As

Publication number Publication date
US9589137B2 (en) 2017-03-07
WO2014132431A1 (en) 2014-09-04
JPWO2014132431A1 (en) 2017-02-02
US20160012230A1 (en) 2016-01-14

Similar Documents

Publication Publication Date Title
JP6014746B2 (en) Unauthorized use detection method and unauthorized use detection device
US10359876B2 (en) Biometric initiated communication
US9819676B2 (en) Biometric capture for unauthorized user identification
KR101951279B1 (en) Contextual device locking/unlocking
CN106599716B (en) Message content protection method and device and mobile terminal
US20120204257A1 (en) Detecting fraud using touchscreen interaction behavior
US9817963B2 (en) User-touchscreen interaction analysis authentication system
US20150205957A1 (en) Method, device, and system of differentiating between a legitimate user and a cyber-attacker
US20140007223A1 (en) Biometric Capture for Unauthorized User Identification
EP2951746B1 (en) System and method of enhancing security of a wireless device through usage pattern detection
US10212158B2 (en) Automatic association of authentication credentials with biometrics
US20080284743A1 (en) Electronic devices with preselected operational characteristics, and associated methods
US8108000B2 (en) Electronic device and method of controlling the electronic device
CN106485173B (en) Sensitive information display method and device
WO2014206203A1 (en) System and method for detecting unauthorized login webpage
CN114329374A (en) Data protection system based on user input mode on device
EP2487572A1 (en) Systems and methods for screen data management
JP5651742B1 (en) Password input method, input terminal, and input system
CN109240591A (en) Interface display method and device
KR20190137752A (en) Device and contents sharing method using the same
US9600167B2 (en) Systems and methods for a user-adaptive keyboard
KR102054005B1 (en) Device and contents sharing method using the same
US11163883B2 (en) Enhancing security of a touch screen device
CN105868594A (en) Terminal control method and device
US10970422B2 (en) Systems and methods for masking user input and sensor data at a user device

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160804

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160830

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160926

R151 Written notification of patent or utility model registration

Ref document number: 6014746

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees